Green Screen

• Green Screen — это блочно-ориентированный терминальный интерфейс, в котором:

1. вся информация выводится на фиксированную сетку символов (обычно 24×80 или 27×132);
2. данные передаются между эмулятором и хостом крупными блоками, а не посимвольно;
3. поля экрана делятся на защищённые (только вывод) и незащищённые (ввод пользователя);
4. управление осуществляется с клавиатуры, включая специальные клавиши Enter, PF1-PF24, PA1-PA3.

Основные черты:

1. Минимальные требования к пропускной способности сети.
2. Высокая устойчивость и продолжительный жизненный цикл приложений.
3. Отсутствие встроенных современных механизмов безопасности (MFA, шифрование трафика), что требует внешних средств защиты^[3].

• COBOL (Common Business-Oriented Language) — один из старейших (с 1959 года) компилируемых языков программирования, созданный для бизнеса, финансов и административных задач.
• RPG (Role-Playing Game) — жанр игр, где игрок управляет персонажем (или группой), развивая его навыки, характеристики и влияя на сюжет.
• TN3270 — сетевой протокол и эмулятор терминала, позволяющий персональным компьютерам подключаться к мэйнфреймам IBM через TCP/IP.
• API (Application Programming Interface — прикладной программный интерфейс) — набор правил, протоколов и инструментов, позволяющий одной компьютерной программе взаимодействовать с другой.
• TLS (Transport Layer Security) — криптографический протокол, обеспечивающий безопасную передачу данных между узлами в сети Интернет (браузером и сервером), защищая их от перехвата и подделки.
• CDC (Change Data Capture) — технология в IT для выявления, фиксации и передачи изменений в данных (добавление, обновление, удаление) из базы-источника в целевые системы в реальном времени.

• Область отображения — матрица символов; классический формат 24×80.
• Поля (fields)
  • защищённые — недоступны для ввода;
  • незащищённые — принимают данные пользователя;
  • атрибуты: только-числовое, подчёркнутое, инверсное, цвет и т.д.^[4]
• Курсор — текущая позиция ввода.
• Функциональные клавиши PF1-PF24, PA1-PA3, Enter, Clear — генерируют AID-коды.
• Область сообщений оператора — строка статуса, ошибки, подсказки.

• Протоколы доступа — TN3270 (для IBM Z) и TN5250 (для IBM i); оба являются расширениями Telnet и по умолчанию используют TCP-порт 23, либо порт 992 при включении TLS^[5].
• Кодировки — EBCDIC; поток данных — блочный.
• Компоненты сеанса — экранный буфер, таблица атрибутов полей, таблица клавиш, очередь AID-кодов^[6].
• Безопасное соединение — SSL/TLS, SSH, либо туннелирование через Z Secure Gateway.

• AID-коды
  • Enter x’7D';
  • Clear x’6D';
  • PF1 x’F1' … PF24 x’FC';
  • PA1 x’6C', PA2 x’6E'^[7].
• Команды потока данных
  • Write
  • Erase/Write
  • Erase All Unprotected
  • Read Modified
  • Write Structured Field^[4].
• Алгоритм обмена

1. хост формирует экран (Write / EW);
2. пользователь заполняет незащищённые поля;
3. при нажатии AID-клавиши клиент выполняет Read Modified и отправляет блок изменённых полей;
4. хост обрабатывает данные и возвращает новый экран.

Долгосрочная эксплуатация Green Screen обеспечивает устойчивость бизнес-логики, но сопряжена с рисками:

• дефицит специалистов по COBOL/RPG;
• отсутствие встроенной многослойной защиты;
• трудности интеграции с API-ориентированными приложениями.

Компании выбирают три стратегии модернизации^[8]:

1. «Face Shift» — веб-обёртка или screen-scraping без изменения кода;
2. «Structural Shift» — частичная переработка архитектуры;
3. «Paradigm Shift» — полная миграция бизнес-логики.

Работа с Green Screen в современных корпоративных системах включает несколько последовательных этапов, каждый из которых направлен на эффективное внедрение, анализ и оптимизацию процессов.

На этом этапе проводится инвентаризация активов и процессов, согласование целей (UX, безопасность, интеграция), а также выбор эмулятора и модели развёртывания (ПК, веб, мобильный).

Включает определение источников (вывод экранов, журналы сеансов, команды пользователя), выбор методов (screen scraping, HLLAPI-API, логирование сетевого трафика, CDC), а также предварительную обработку данных: нормализация форматов, фильтрация, агрегирование^[9].

На этом этапе осуществляется статический анализ COBOL/RPG-кода, обратное проектирование, моделирование бизнес-процессов (BPMN), а также оценка рисков и технического долга^[10].

Результаты анализа и обработки данных распространяются в различных форматах (интерактивные дашборды BI, регламентные PDF/CSV, почтовые рассылки) и по разным каналам (порталы, файловые шары, e-mail). Частота обновления зависит от критичности: real-time для ключевых метрик, ежедневно или ежемесячно для отчётности^[11].

Включает сбор обратной связи с помощью интервью, опросов, анализа тикетов Help Desk, записи сеансов. Критерии эффективности — снижение MTTR, рост CSAT/NPS. На основе полученных данных проводится корректировка: приоритизация замечаний, итеративное улучшение скриптов и макросов^[12].

• высокая надёжность и отказоустойчивость;
• минимальные сетевые и аппаратные требования;
• устоявшаяся бизнес-логика;
• относительная изолированность от веб-угроз^[1].

• устаревший UI/UX, сложность обучения персонала;
• дефицит разработчиков COBOL/RPG;
• ограниченные встроенные механизмы безопасности;
• сложности интеграции с облачными и API-ориентированными сервисами^[13].

Ограничения безопасности таких интерфейсов связаны с их возрастом и архитектурой:

• Отсутствие современных протоколов шифрования. Традиционные Green Screen-терминалы работали по протоколу SNA (Systems Network Architecture), который не предусматривает встроенного шифрования данных. Данные часто передаются в открытом виде, что делает их уязвимыми для перехвата в локальной сети.
• Слабая аутентификация. Часто ограничивается простым логином и паролем, без поддержки двухфакторной аутентификации (2FA) или многофакторной аутентификации (MFA).
• Риск "спуфинга" (подмены). Из-за простоты текстового интерфейса злоумышленник может создать поддельную страницу входа, чтобы украсть учетные данные.
• Ограниченная аудируемость. Сложность в логировании детальных действий пользователя, так как система ориентирована на работу с полями данных, а не на действия внутри приложений.
• Отсутствие изоляции сессий. В старых реализациях перехват сессии терминала может позволить злоумышленнику получить полный контроль над рабочим местом.

• Финансы — обработка транзакций, расчёт кредитных рейтингов;
• Производство — управление запасами и цеховыми потоками;
• Логистика — WMS, отслеживание грузов;
• Здравоохранение — хранение результатов анализов;
• Государственный сектор — налоговые и регистрационные системы^[1].

• Commercial:
  • IBM Personal Communications
  • Rocket BlueZone
  • Micro Focus Rumba
  • OpenText Reflection Desktop
• Open source:
  • x3270/wx3270/c3270/s3270
  • tn5250j^[14].

• Rocket Secure Host Access (SaaS, TLS 1.3, MFA);
• Flynet Viewer TE (HTML5 zero-client);
• Virtel Web Access;
• TTerm Connect (Turbosoft).

• захват TN3270/TN5250-трафика средствами Wireshark^[15];
• журналы SMF/DB2/CICS → ELK, Splunk (IBM Z Operational Log & Data Analytics);
• CDC-потоки tcVISION для потоковой репликации изменений.

• SIEM/SOAR
  • агрегирование логов RACF/Top Secret для корреляции инцидентов;
• RPA
  • UiPath
  • IBM RPA
  • Rocket Verastream через EHLLAPI или встроенный TN3270/TN5250-драйвер;
• IAM/SSO
  • SAML/OIDC-шлюзы (например, Rocket Secure Gateway) с многофакторной аутентификацией;
• ITSM
  • автоматическое создание тикетов на основе выводов RPA-сценариев.